ACTIVIDAD No. 1: Estudio del Retorno sobre la Inversión
Dentro de la etapa de planeación de la Entidad de Certificación, existe un aspecto a tener en cuenta que poco tiene que ver con la tecnología: el ROI (Retorno sobre la Inversión del acrónimo inglés Return over Investment), un estudio que sirve para determinar la viabilidad económica de la implantación del sistema de seguridad sobre el cual se van a soportar los servicios de identificación digital.
A pesar que no existe una herramienta para cuantificar el éxito o fracaso de una inversión de capital en un negocio de manera absoluta, se podría pensar que un estudio de ROI podría ser algo inútil e inoficioso en el proceso de implantación de una Infraestructura de Llaves Públicas, sin embargo, una cuantificación, así sea aproximada del factor inversión y el factor retorno, puede ser un instrumento de gran ayuda al momento de observar la viabilidad del proyecto.
Para medir el ROI de una Entidad de Certificación, se deben tener en cuenta 2 factores: la I o inversión y la R o el retorno:
1. Medición de la I (Inversión) en el Proyecto
El tema central del estudio de la I en un ROI, consiste en la determinación del Costo Total de la Propiedad (TCO - Total Cost of Ownership), el cual permite capturar los diferentes elementos de costos que se relacionan con la implantación de la PKI. El TCO se enfoca en cuatro aspectos: productos/tecnologías, planta/instalaciones, personal y procesos.
Productos/Tecnologías
En esta categoría se deben tener en cuenta todos los elementos tecnológicos de la arquitectura PKI y sus diferentes opciones, tales como formas de pago, formas de adquisición, administración y licenciamiento. Durante la estimación de éstos costos, se podrá llegar a la conclusión que existe una relación entre el costo de productos/tecnología y el número de usuarios de la Entidad de Certificación.
Planta (Instalaciones)
En esta categoría se deben tener en cuenta todas las instalaciones que se requieren para operar los componentes de la PKI, más el costo de la recuperación de éstas, en caso de un desastre.
Procesos
En esta categoría se deben tener en cuenta todas las personas que hacen parte de la estructura organizacional de la Entidad de Certificación, ya sean éstos parte del personal interno, o externo de la organización.
Procesos
El proceso de implantación de una PKI, implica muchas etapas (Etapa de Preparación, etapa de implantación y puesta en marcha, etapa de operación y mantenimiento). Es así, como en esta categoría se capturan los costos relacionados con las actividades realizadas a través de cada una de las etapas del proyecto.
2. Medición de la R (Retorno) en el Proyecto.
El aspecto económico más importante de un negocio es el retorno de capital, tanto a corto, como a largo plazo. La cuantificación de estos costos, enmarcado en un referente específico es a lo que se le conoce como medición de los rendimientos financieros.
A nivel general, existe un método simple para realizar este proceso, el cual consta de los siguientes pasos:
a) Análisis de los Servicios de Identificación Digital b) Establecimiento y aplicación de la medida de la "R" c) Análisis de resultados a nivel presente y futuro
Como se había visto en la subetapa 1, en la actividad de identificación de la idea, existe una taxonomía para clasificar los servicios telemáticos basados en identificación digital. Durante el transcurso de dicha actividad, se realizó el análisis de las necesidades de la comunidad que se iba a beneficiar de esos servicios, por lo que realizar éste de nuevo, sería redundar. Sin embargo, se podría pensar en que tan viable son económicamente estos servicios escogidos para ser implementados, así como en la posibilidad de agregar a futuro nuevos servicios económicamente rentables.
En el proceso de establecimiento de la medida "R", hay que tener en cuenta 3 aspectos: ingresos, costos y cumplimiento.
Los ingresos, son la cuantificación de cualquier cantidad de corrientes de ingresos incrementales para las aplicaciones PKI. La cuantificación del porcentaje de ingresos por transacciones en línea y el porcentaje de aumento de clientes son ejemplos de este tipo.
Los costos, y los mecanismos para su reducción son temas importantes al momento de aumentar los rendimientos financieros de la PKI, a pesar que su realización es más por táctica que por estrategia. Ejemplos de ésto son los ahorros en los costos de la PKI y su evaluación.
El cumplimiento es el aspecto más importante para el cliente, junto con el costo del servicio. Éste se encuentra estrechamente relacionado con la calidad y por ende, es indispensable cumplirlo, si se desea competente en el mercado. Al momento de estudiar este tema, se deben tener en cuenta el cumplimiento de las regulaciones y normatividades, el cumplimiento con los socios del proyecto y sobre todo, el cumplimiento con los clientes.
ACTIVIDAD No. 2: Estudio legal de la Entidad de Certificación
Como se vió en la base conceptual, en Colombia existen una ley encargada de regular lo concerniente a la emisión de certificados digitales, el comercio electrónico y el intercambio electrónico de datos (Ley 527 de 1999), además de un decreto (Decreto 1747 de 2000), en el cual se complementan los aspectos relacionados a funcionalidad y requerimientos relacionados con la entidad de certificación. Es así como de éste podemos extraer dos artículos de suma importancia para los intereses de planeación de la implementación de la entidad de certificación tales como: ENTIDADES DE CERTIFICACIÓN CERRADA
Artículo 3°. Acreditación de requisitos de las entidades de certificación cerradas. Quienes pretendan realizar las actividades propias de las entidades de certificación cerradas deberán acreditar ante la Superintendencia de Industria y Comercio que:
1. Los administradores y representantes legales no están incursos en las causales de inhabilidad previstas en el literal c) del artículo 29 de la Ley 527 de 1999, y
2. Están en capacidad de cumplir los estándares mínimos que fije la Superintendencia de Industria y Comercio de acuerdo a los servicios ofrecidos.
Esto quiere decir que cualquier persona jurídica pública o privada que quiera establecer una entidad de certificación cerrada no debe estar representada legalmente por personas que hayan sido condenadas a pena privativa de libertad, excepto por delitos políticos o culposos; o que hayan sido suspendidas en el ejercicio de su profesión por falta grave a la ética o hayan sido excluidas de
aquélla.
En el literal 2, de este artículo, se referencia a la Superintendencia de Industria y Comercio, entidad encargada, según el artículo 41 de la Ley 527 de 1999 a ser el ente encargado de autorizar, velar y en general gestionar los temas relacionados con las entidades de certificación en Colombia. Es así como se debe remitir a la Circular Única expedida por dicho estamento, específicamente al Título V, Capítulo Octavo, denominado "Entidades de Certificación Ley 527 de 1999", donde se establece que la persona que solicite autorización como entidad de certificación cerrada, deberá diligenciar la solicitud de autorización para entidad de certificación formato 3020-F08 anexo 3.9, adjuntando un certificado de existencia y representación legal o copia de las normas que le otorgan la calidad de representante legal de una entidad pública, de notario o cónsul.
Entre los detalles importantes a tener en cuenta al momento de llenar dicha solicitud se encuentran los servicios que prestará la entidad de certificación (Servicios Telemáticos basados en Identificación Digital), la dirección de la Entidad de Certificación, una breve descripción de los servicios y finalmente una descripción y diseño de la arquitectura de la Infraestructura de Llaves Públicas.
ENTIDADES DE CERTIFICACIÓN ABIERTA
Artículo 5°. Acreditación de requisitos de las entidades de certificación abiertas. Quienes pretendan realizar las actividades propias de las entidades de certificación abiertas deberán particularizarlas y acreditar ante la Superintendencia de Industria y Comercio:
1. Personería jurídica o condición de notario o cónsul.
Cuando se trate de una entidad extranjera, se deberá acreditar el cumplimiento de los requisitos contemplados en el libro segundo, título VIII del Código de Comercio para las sociedades extranjeras que pretendan ejecutar negocios permanentes en territorio colombiano. Igualmente deberá observarse lo establecido en el artículo 48 del Código de Procedimiento Civil.
2. Que los administradores y representantes legales no están incursos en las causales de inhabilidad previstas en el literal c) del artículo 29 de la Ley 527 de 1999.
3. Declaración de Prácticas de Certificación (DPC) satisfactoria, de acuerdo con los requisitos establecidos por la Superintendencia de Industria y Comercio.
4. Patrimonio mínimo de 400 salarios mínimos mensuales legales vigentes al momento de la autorización.
5. Constitución de las garantías previstas en este decreto.
7. Informe inicial de auditoría satisfactorio a juicio de la misma Superintendencia.
8. Un mecanismo de ejecución inmediata para revocar los certificados digitales expedidos a los suscriptores, a petición de estos o cuando se tenga indicios de que ha ocurrido alguno de los eventos previstos en el artículo 37 de la Ley 527 de 1999.
Parágrafo 1°. La Superintendencia de Industria y Comercio tendrá la facultad de solicitar ampliación o aclaración sobre los puntos que estime conveniente.
Parágrafo 2°. Si se solicita autorización para certificaciones recíprocas, se deberán acreditar adicionalmente la entidad reconocida, los certificados reconocidos y el tipo de certificados al cual se remite, la vigencia y los términos del reconocimiento.
Abrir una Entidad de Certificación Abierta, como se puede ver, implica unos requerimientos extras según la ley, tales como la creación de la Declaración de Prácticas de Certificación (Subetapa anterior) y ante todo, un respaldo patrimonial representado en en 400 salarios mínimos. Además de eso, se tienen que cumplir unas características técnicas, que son las que se han venido contemplando a lo largo de este escrito.
Además, la Superintendencia de Industria y Comercio realizará una auditoría a los elementos anteriormente nombrados, lanzando un juicio acerca del cumplimiento o no de éstos.
En cuanto a la circular única de dicho estamento, los requerimientos para lograr la autorización legal de una Entidad de Certificación Abierta son:
a) Llenar la solicitud de autorización para Entidad de Certificación formato 3020-F08 anexo 3.9 b) Formato 3020-F09 información de administradores o representantes legales anexo 3.10 diligenciado por el representante legal encargado de la Entidad de Certificación acompañado de: - Certificado judicial vigente o documento equivalente proveniente del país o países donde hayan residido por cada uno de los administradores y representantes legales
- Una certificación de representante legal que diligenció el formato 3020-F09, en el cual haga constar que de acuerdo a la información suministrada y disponible, ninguno de los administradores y representantes legales de la Entidad se encuentra incurso en alguna de las inhabilidades estipuladas en el literal c del artículo 29 de la ley 527 de 1999.
c) Copia del acto que le otorga la personería jurídica y de las normas que le otorgan la calidad de representante legal de una entidad pública de notario o cónsul, o certificado de existencia y representación legal. Cuando se trate de persona extranjera , se deberá acreditar el cumplimiento de lo señalado en el libro II título VII del código de comercio y en el artículo 48 del código de procedimiento civil, según lo dispuesto en el número 1 del artículo 5 del decreto 1747 de 2000.
d) Informe de auditoría en los términos del numeral 8.3.2 del título V de la circular única de la Superintendencia de Industria y Comercio, en el cual se declara la conformidad de cada una de las condiciones previstas en el artículo 29 de la ley 527 de 1999, el decreto 1747 de 2000 y el título V de dicha circular.
e) Estados financieros presentados conforme a la ley y con una antigüedad no superior a seis meses (6) según lo dispuesto en el numeral 1 del artículo 7 del decreto 1747 de 2000.
f) Copia del documento que acredite que se han constituido las garantías de acuerdo a lo dispuesto en el artículo 8 del decreto 1747 de 2000.
g) Descripción detallada de la infraestructura, procedimientos y recursos, según lo previsto en el artículo 9 del decreto 1747 de 2000. El cumplimiento de los requisitos deberá acreditarse según los previsto en el capítulo cuarto del título V, de la circular única de la Superintendencia de Industria y Comercio.
4. ETAPA DE IMPLEMENTACIÓN Y PUESTA EN MARCHA